Nutzung von Let’s Encrypt mit pd-admin

Ab pd-admin 4.55 wird nun auch Let’s Encrypt unterstützt. pd-admin liefert dafür auch die entsprechenden binaries mit. Damit lassen sich für Domains einfach Zertifikate erzeugen und automatisiert verlängern. Bei Nutzung von pd-admin < 4.56 wird empfohlen die aktuelle Beta herunter zu laden und zu installieren.

Installation / Update von pd-admin

Wenn Ihr pd-admin < 4.56 installiert habt, geht Ihr wie folgt vor:

# wget http://download.pd-admin.de/pdadmin_v4_beta.tar.gz

Ansonsten kann die reguläre Version verwendet werden. Dies ist zum Zeitpunkt der Veröffentlichung noch 4.55, daher sollte die Beta genommen werden:

# wget http://pd-admin.de/download/pdadmin_v4.tar.gz
# tar xzf pdadmin_v4.tar.gz
# cd pdadmin
# ./update.sh

Bei einer Neuinstallation wird stattdessen

# ./install-all

ausgeführt. Beachtet dazu auch die offizielle Installationsanleitung oder auch meine Anleitung für CentOS 7.

Ist das Update bzw. die Installation abgeschlossen finden sich nun unter /opt/pdadmin/bin/ die binaries certbot-auto und letsencrypt.

Aktivierung in Serverkonfiguration und Angebot

Damit für eine Domain ein Zertifikat erzeugt wird, müssen zwei Bedingungen erfüllt sein.

  1. In der Serverkonfiguration muss Let’s Encrypt eingeschaltet sein. Zu finden unter Einstellungen -> Serverkonfiguration
  2. Im Angebot des Endkunden muss Let’s Encrypt aktiviert sein. Dies kann entweder unter Angebote oder bei Endkunden -> Übersicht -> Verwalten -> Angebot individualisieren aktiviert werden.

Die binaries

letsencrypt

Mit der binary letsencrypt kann man für einzelne oder alle Domains Zertifikate erzeugen lassen. Einzelne Zertifikate werden wie folgt erzeugt:

# /opt/pdadmin/bin/letsencrypt <subdomain>

Man hat auch die Möglichkeit für sämtliche in pd-admin angelegten Domains Zertifikate zu erzeugen. Dies geht mit

# /opt/pdadmin/bin/letsencrypt --all

Wichtig: Sind bereits Zertifikate für eine Domain angelegt, wird kein Zertifikat erzeugt. Auch nicht wenn das Zertifikat bereits ausgelaufen sein sollte. Das Zertifikat muss vorher über das Backend entfernt werden.

certbot-auto

Die certbot-auto binary ist eigentlich verantwortlich für die Erzeugung und Verlängerung von Zertifikaten. Die genaue Verwendung des certbots kann in der offiziellen Dokumentation nachgeschaut werden. Wichtig sind erst einmal nur

# /opt/pdadmin/bin/certbot-auto renew

Damit werden vorhandene Zertifikate erneuert. Die Konfigurationsdateien finden sich unter /etc/letsencrypt/ .

Einrichtung der Cronjobs

Damit wird die Erzeugung und Verlängerung von Zertifikaten automatisiert. Dazu öffnet man als Nutzer root den crontab mit

# crontab -e

und fügt folgende zwei Zeilen ein:

35 2 * * * /opt/pdadmin/bin/letsencrypt --all
40 3 * * 1 /opt/pdadmin/bin/certbot-auto renew

Die Ausführungszeiten können natürlich angepasst werden. letsencryp sollte täglich ausgeführt werden, certbot-auto wöchtentlich.

Ein Gedanke zu “Nutzung von Let’s Encrypt mit pd-admin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.